CISA, FBI ve MS-ISAC bugün ağ yöneticilerini, Atlassian Confluence sunucularına, saldırılarda aktif olarak yararlanılan maksimum önem derecesine sahip bir kusura karşı derhal yama yapmaları konusunda uyardı.
CVE-2023-22515 olarak izlenen bu kritik ayrıcalık yükseltme kusuru, Confluence Data Center ile Server 8.0.0 ve sonraki sürümlerini etkiler ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan kullanılabilir.
4 Ekim’de güvenlik güncellemeleri yayınladığında Atlassian, müşterilerine Confluence örneklerini mümkün olan en kısa sürede sabit sürümlerden birine (yani 8.3.3 veya üstü, 8.4.3 veya üstü, 8.5.2 veya üstü) yükseltmelerini tavsiye etti. Bu hata zaten doğada sıfır gün olarak istismar ediliyordu.
Yükseltemeyenlerden, etkilenen örnekleri kapatmaları veya İnternet erişimini kesmeleri istendi. Yöneticilere ayrıca yeni veya şüpheli yönetici kullanıcı hesapları da dahil olmak üzere güvenlik ihlali göstergelerini kontrol etmeleri önerildi.
CISA’nın hatayı bilinen istismar edilen güvenlik açıkları listesine eklemesinden bir hafta sonra Microsoft, Storm-0062 (aka DarkShadow veya Oro0lxy) olarak takip edilen Çin destekli bir tehdit grubunun bu kusuru en az 14 Eylül’den bu yana sıfır gün olarak kullandığını açıkladı. , 2023.
Üç kuruluş bugün “CISA, FBI ve MS-ISAC, ağ yöneticilerini Atlassian tarafından sağlanan yükseltmeleri derhal uygulamaya teşvik ediyor.” uyarısında bulundu.
“CISA, FBI ve MS-ISAC ayrıca kuruluşları, bu CSA’daki tespit imzalarını ve güvenlik ihlali göstergelerini (IOC’ler) kullanarak ağlarındaki kötü amaçlı etkinlikleri avlamaya teşvik eder. Potansiyel bir güvenlik ihlali tespit edilirse, kuruluşlar olay müdahale önerilerini uygulamalıdır. “
Yaygın istismar uyarısı
Siber güvenlik firması Greynoise tarafından toplanan veriler, CVE-2023-22515’in kullanımının şu ana kadar çok sınırlı göründüğünü gösteriyor.
Bununla birlikte, kavram kanıtı (PoC) açıklarının yayınlanmasıyla birlikte istismarın manzarası yakında değişebilir. [1, 2] Pentester Valentin Lobstein ve Sophee güvenlik mühendisi Owen Gong tarafından geliştirilen güvenlik açığına ilişkin tüm teknik ayrıntıların yanı sıra Rapid7 araştırmacıları tarafından geçen hafta yayınlandı.
Ortak danışma belgesinde, “Kullanım kolaylığı nedeniyle, CISA, FBI ve MS-ISAC, yama yapılmamış Confluence örneklerinin hükümet ve özel ağlarda yaygın şekilde sömürülmesini görmeyi bekliyor” diye uyarıyor.
Kötü niyetli varlıklara karşı geçmişteki çekicilikleri göz önüne alındığında, Confluence sunucularına mümkün olan en kısa sürede yama uygulanması son derece önemlidir. Linux botnet kötü amaçlı yazılımlarını, kripto madencilerini ve AvosLocker ve Cerber2021 fidye yazılımı saldırılarını içeren önceki kampanyalar, sorunun aciliyetinin altını çiziyor.
Geçtiğimiz yıl CISA, federal kurumlara, doğada istismar edilen başka bir kritik Confluence güvenlik açığını (CVE-2022-26138) ele almaları talimatını verdi. Bu, siber güvenlik firması Rapid7 ve tehdit istihbaratı şirketinin önceden yaptığı uyarılar sonucunda ortaya çıktı. Gri Gürültü.